Система обеспечения информационной безопасности в государственном учреждении

Следующим этапом построения системы информационной безопасности является ее проектирование, включая  систему управления информационной безопасностью.

Задача проектирования системы информационной безопасности тесно связана с понятием архитектуры  системы. Построение архитектуры системы  информационной безопасности, как интегрированного решения, соблюдение баланса между  уровнем защиты и инвестициями в  систему обеспечивают ряд преимуществ: интеграция подсистем позволяет  снизить совокупную стои-мость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость  системы информационной безопасности, а следовательно, возможности отслеживания событий, связанных с информационной безопасностью.

Интегрированная архитектура  системы информационной безопасности

Высокая эффективность  системы информационной безопасности может быть достигнута, если все  ее компоненты представлены качественными  реше-ниями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.

Интегрированная архитектура  систем информационной безопасности включает в себя набор следующих подсистем:

- подсистему защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.);

- подсистему защиты серверов сети;

- средства защиты рабочих станций;

- подсистему мониторинга и аудита безопасности;

- средства обнаружения атак и автоматического реагирования;

- подсистему комплексной антивирусной защиты;

- средства анализа защищенности и управления политикой безопасности;

- средства контроля целостности данных;

- средства криптографической защиты информации;

- инфраструктуру открытых ключей;

- подсистему резервного копирования и восстановления данных;

- автоматизированную систему установки обновлений программного обес-печения;

- средства управления безопасности;

- подсистему аутентификации и идентификации.

Необходимо еще  раз подчеркнуть, что архитектура  системы информационной безопасности включает в себя систему управления (процессы и процедуры по обеспечению  информационной безопасности) информационной безопасностью (СУИБ). Задачами СУИБ являются систематизация процессов обеспечения  информационной безопасности, расстановка  приоритетов компании в области  информационной безопасности, достижение адекватности системы информационной безопасности существующим рискам, достижение ее «прозрачности». Последнее особенно важно, так как позволяет четко  определить, как взаимосвязаны процессы и подсистемы информационной безопасности, кто за них отвечает, какие финансовые и людские ресурсы необходимы для их обеспечения и т.д. Создание СУИБ позволяет также обеспечить отслеживание изменений, вносимых в  систему информационной безопасности, отслеживать процессы выполнения политики безопасности, эффективно управлять  системой в критичных ситуациях.

В целом, процесс  управления безопасностью (Security Management) отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры безопасности. Организация  этого процесса усложняется тем  обстоятельством, что обеспечение  информационной безопасности компании связано не только с защитой информационных систем и бизнес-процессами, которые  поддерживаются этими информационными  системами. В организациях часто  существуют бизнес-процессы, не связанные  с информационными технологиями, но попадающие в сферу обеспечения  информационной безопасности, например, процессы кадровой службы по найму  персонала. 
 

Этапы работ по проектированию системы информационной безопасности

1. Разработка Концепции  обеспечения информационной безопасности. Определяются основные цели, задачи  и требования, а также общая  стратегия построения системы  информационной безопасности. Идентифицируются  кри-тичные информационные ресурсы. Вырабатываются требования к системе информационной безопасности и определяются базовые подходы к их реализации.

2. Создание / развитие  политики информационной безопасности.

3. Построение модели  системы управления информационной  безопасностью (на основе процессно-ролевой  модели).

4. Подготовка технического  задания на создание системы  информационной безопасности.

5. Создание модели  системы информационной безопасности.

6. Разработка техническо-рабочего  проекта (ТРП) создания системы  информационной безопасности и  архитектуры системы информационной  без-опасности. ТРП по созданию системы информационной безопасности включает следующие документы.

- Пояснительную записку, содержащую описание основных технических решений по созданию системы информационной безопасности и организационных мероприятий по подготовке системы информационной безопасности к эксплуатации.

- Обоснование выбранных компонентов системы информационной безопасности и определение мест их размещения. Описание разработанных профилей защиты.

- Спецификацию на комплекс технических средств системы информацион-ной безопасности.

- Спецификацию на комплекс программных средств системы информационной безопасности.

- Определение настроек и режима функционирования компонентов системы информационной безопасности.

7. Тестирование на  стенде спроектированной системы  информационной безопасности.

8. Разработка организационно-распорядительных  документов системы управления  информационной безопасностью (политик  по обеспечению информационной  безопасности, процедур, регламентов  и др.).

9. Разработка рабочего  проекта (включая документацию  на используе-мые средства защиты и порядок администрирования, план ввода системы информационной безопасности  в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы. 

2.3. Внедрение системы  информационной безопасности 

После проведения полного  тестирования спроектированной системы  информационной безопасности, можно  приступать к ее внедрению. Работы по внедрению системы включают выполнение следующих задач:

- поставку программных и технических средств защиты информации;

- инсталляцию программных компонентов;

- настройку всех компонентов и подсистем;

- проведение приемо-сдаточных испытаний;

- внедрение системы управления информационной безопасностью;

- обучение пользователей;

- ввод системы информационной эксплуатации в промышленную эксплуатацию.

Для эффективной  дальнейшей эксплуатации системы необходимо обес-печить ее поддержку и сопровождение (собственными силами организации или силами привлекаемых специалистов). 

2.4. Выбор исполнителя  работ 

При проведении работ  по созданию или модернизации системы  инфор-мационной безопасности организация часто обращается за помощью к внеш-ним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одну из самых критичных областей функционирования организации?

В первую очередь, компания-консультант  должна иметь хорошую репутацию  на рынке. Во-вторых, необходимо убедиться  в обширном опыте работы в сфере  информационной безопасности как самой компании-консультанта, так и конкретных сотрудников, задействованных в проекте. В-третьих, необходимо наличие у исполнителя программно-аппаратных средств для построения тестовых стендов, проведения работ по проектированию и моделированию системы информационной безопасности. Кроме того, дополнительные выгоды принесет наличие у исполнителя высоких партнерских статусов с поставщиками программно-аппаратных комплексов (это также является определенной гарантией опыта компании-консультанта). И, главное, - необходимо наличие у исполнителя центра поддержки, работающего в круглосуточном режиме. Услуги службы технической поддержки исполнителя могут включать и аутсорсинг, и удален-ный мониторинг состояния средств защиты информации, и обслуживание поддерживаемых средств. Исполнители могут выполнять работы по сопровождению продуктов - плановой замене их версий, консультированию пользователей и др. То есть обеспечивается технологическая основа для того, чтобы система информационной безопасности «жила» и развивалась. 
 
 
 
 
 
 
 

3. Политика информационной  безопасности 

Под политикой информационной безопасности понимается совокуп-ность документированных управленческих решений, определяющих и ограничивающих виды деятельности объектов и участников, системы информационной безопасности, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации. Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.

Администратор безопасности - должностное лицо, устанавливающее  политику безопасности и идентифицирующее объекты и участников, к кото-рым применяется эта политика.

Домен безопасности - совокупность объектов и участников информационного процесса, подчиняющихся  единой политике безопасности и единой администрации безопасности.

Различают следующие  аспекты политик информационной безопасно-сти:

Идентификационная политика безопасности - политика безопасно-сти, основанная на идентифицирующих свойствах и/или атрибутах:

- пользователей или объектов, действующих от имени пользователей;

- ресурсов/объектов, к которым осуществляется доступ.

Инструкционная политика безопасности - политика безопасности, основанная на общих правилах, обязательных для всех пользователей. Обычно эти  правила основываются на сравнении  чувствительности ресурсов, к которым  требуется доступ, и наличии соответствующих  атрибутов у пользователей или  объектов, выступающих от имени пользователей.

Корпоративная политика безопасности - совокупность законов, пра-вил и мероприятий, регулирующих управление, защиту и распределение информационных ресурсов в пользовательской среде.

Системная политика безопасности - совокупность законов, правил и практических методов, регулирующих порядок управления, защиты и распределения  чувствительной информации и других ресурсов в конкретной автоматизированной системе.

Техническая политика безопасности - совокупность законов, правил и практических методов, регулирующих:

- обработку чувствительной  информации;

- использование ресурсов  аппаратным и программным обеспечением  информационной системы.

Политика информационной безопасности является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд  ведомственных стандартов и международные  стандарты в этой области (ISO 17799).

В России к нормативным  документам, определяющим содержание политики информационной безопасности, относится ряд руководящих документов  Гостехкомиссии. В отечественных  и международных стандартах используются сходная методология, однако ряд  вопросов в отечественных руководящих  документах не рассмотрен или рассмотрен менее подробно. Таким образом, при  разработке политики информационной безопасности целесообразно использовать передовые  зарубежные стандарты, позволяющие  разработать более качественные документы, полностью соответствующие  отечественным руководящим документам.

Основные этапы  разработки политики информационной безопасности:

- Разработка концепции политики информационной безопасности и ее увя-зывание с общей концепцией безопасности учреждения:

- Описание границ системы и построение модели информационной системы с позиции безопасности:

- Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рис-ков и оценка их параметров

3.1. Основные положения  политики информационной безопасности

Стандарт ISO 17799 является обобщением опыта обеспечения информационной безопасности зарубежными предприятиями  и организациями по стандартизации. В нем нет детализированных требований по информационной безопасности, однако описан общий подход к организационным  и техническим аспектам защиты информации, которые позволяют сформировать адекватную политику информационной безопасности. Реализация рекомендаций по организационным  вопросам защиты информации позволяет  сделать политику информационной безопасности комплексной, что в сочетании  с решением технических вопросов защиты информации в соответствии с  Российскими нормативно-руководящими документами, обеспечивает относительно высокий уровень безопасности.

В стандарте ISO 17799 даны рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности, разрабатываемой для конкретной организации:

- определение информационной безопасности и перечень составляющих ее элементов, положение о целях управления и принципах информационной безопасности